美國黑帽網(wǎng)絡(luò )安全大會(huì ):移動(dòng)平臺和開(kāi)源軟件正
發(fā)布時(shí)間:2021-08-11 12:02
來(lái)源:至頂網(wǎng)
閱讀:0
作者:至頂網(wǎng)
欄目: 網(wǎng)絡(luò )安全
一年一度的美國黑帽網(wǎng)絡(luò )安全會(huì )議于本周舉行��,基于現場(chǎng)與會(huì )者的發(fā)言和全球各地安全研究人員的虛擬流媒體簡(jiǎn)報���,移動(dòng)平臺和開(kāi)源軟件正在成為網(wǎng)絡(luò )安全的關(guān)鍵問(wèn)題�����。
黑帽大會(huì )創(chuàng )始人Jeff Moss在開(kāi)幕式主題演講中總結了網(wǎng)絡(luò )安全界的普遍感受����,網(wǎng)絡(luò )安全領(lǐng)域近來(lái)歷經(jīng)了勒索軟件攻擊爆炸性增長(cháng)��、重大供應鏈漏洞�����,俄羅斯�、朝鮮和伊朗等國家發(fā)展成了嚴重的民族國家黑客行動(dòng)參與者��。
Moss表示����,“我們剛認識到被打臉了�,我們正努力想辦法拆招����。這兩年真的有壓力�。”
黑帽大會(huì )演講的五個(gè)重要話(huà)題:
1. 移動(dòng)平臺是黑客攻擊的下一個(gè)前沿陣地
越來(lái)越多的證據表明���,威脅者正在將手里的大量資源轉向移動(dòng)平臺漏洞的利用����。據估計��,全球智能手機用戶(hù)達60億�,是個(gè)不能錯過(guò)的����、非常有吸引力的機會(huì )���。
在移動(dòng)設備受到攻擊的同時(shí)�����,零日漏洞亦在增加�,零日漏洞指安全社區不知道的因此沒(méi)被修補的漏洞��。
零日漏洞由市場(chǎng)驅動(dòng)����,基于供應和需求����。零日中介Zerodium去年曾因為提交數量過(guò)多而宣布暫停購買(mǎi)蘋(píng)果iOS漏洞��。去年夏天�,網(wǎng)絡(luò )犯罪分子利用一個(gè)iPhone零日漏洞入侵6名國際記者的移動(dòng)設備���。
Corellium LLC的首席運營(yíng)官���、英國國家安全局(GCHQ)前分析師Matt Tait所做的研究表明���,這個(gè)問(wèn)題正在變得非常地嚴重���。
Tait向與會(huì )者表示��,“針對手機設備的零日滲透正在急劇增加��。我們看到的只是世界上實(shí)際可能發(fā)生的事情的一小部分�����。”
問(wèn)題的一部分原因在于�����,一些移動(dòng)平臺的架構構成了一系列獨有的問(wèn)題����。谷歌Project Zero的安全研究員Natalie Silvanovich描述了對移動(dòng)信息出錯時(shí)所做的一些分析��,她發(fā)現一個(gè)用戶(hù)能夠在未經(jīng)同意的情況下打開(kāi)另一個(gè)用戶(hù)的攝像頭或音頻�。
Silvanovich找到Group FaceTime�、Signal��、Facebook Messenger����、JioChat和Mocha的各種漏洞��,所有這些漏洞都曾被報告過(guò)和被修復過(guò)����。
Silvanovich表示��,“在未經(jīng)用戶(hù)同意的情況下就可以打開(kāi)別人的攝像頭并拍幾張照片�����,能夠這樣做相當令人擔憂(yōu)��。”
2. 開(kāi)源社區需要聚焦安全而且要快
開(kāi)源模式就本質(zhì)而言其設置并非是為了生成完全安全的代碼���。開(kāi)源模式下某個(gè)項目可能數以百萬(wàn)計的貢獻者來(lái)自世界各地�����,用到的重要軟件工具資源可自由使用�����,而且項目維護者名冊不斷變化��,這時(shí)��,安全問(wèn)題很容易被忽視����。
問(wèn)題是�����,威脅者也知道這一點(diǎn)����,他們正在利用這一點(diǎn)進(jìn)行獲利�。2017年的Equifax漏洞泄露了1.47億人的個(gè)人信息�����,原因是Apache Struts一個(gè)未打補丁的開(kāi)源版本漏洞被利用�����。
威脅面涉及到開(kāi)發(fā)人員使用的工具以及他們存儲這些工具的地方�����。去年12月曾報道過(guò)兩個(gè)惡意軟件包被發(fā)布到NPM網(wǎng)站����,NPM網(wǎng)站是JavaScript開(kāi)發(fā)人員用來(lái)分享代碼塊的代碼庫�。此外����,GitGuardian的一項分析僅在2020年就找到200萬(wàn)個(gè)“未公開(kāi)”密碼以及存儲在公共Git存儲庫的識別憑證���。
NCC集團高級副總裁兼全球研究主管Jennifer Fernick表示�,“事情并沒(méi)有變得好一些�,再加上應用程序的復雜性也在增加�。上報的開(kāi)源軟件漏洞數量每年都在增長(cháng)����。如果不認真地進(jìn)行協(xié)調干預����,我認為情況會(huì )越來(lái)越糟��。”
3. DNS即服務(wù)為進(jìn)入企業(yè)網(wǎng)絡(luò )創(chuàng )造了開(kāi)放高速公路
業(yè)界了解到域名系統(英文縮寫(xiě)為DNS)中的漏洞有一段時(shí)間�����,但一個(gè)安全研究小組最近進(jìn)行的簡(jiǎn)單實(shí)驗卻發(fā)現了令人不安的結果�。
DNS使得IP網(wǎng)絡(luò )(互聯(lián)網(wǎng)屬I(mǎi)P網(wǎng)絡(luò )的一種)上計算機之間可以更簡(jiǎn)便地進(jìn)行通信�,這是DNS開(kāi)放互聯(lián)網(wǎng)背后的一項基礎技術(shù)��。DNS服務(wù)現在被各種云供應商大量使用����,有些云供應商提供DNSaaS(DNS即服務(wù))的管理企業(yè)網(wǎng)絡(luò )解決方案���。
Wiz.io的安全研究人員Shir Tamari和Ami Luttwak發(fā)現了存在的問(wèn)題�,有心者可以注冊一個(gè)域名���,然后用它來(lái)劫持DNSaaS供應商的域名服務(wù)器����,如此一個(gè)用戶(hù)就可以竊聽(tīng)動(dòng)態(tài)DNS流量�。二位研究人員成功使用一個(gè)被劫持的服務(wù)器竊聽(tīng)了15,000個(gè)組織的DNS流量����。
據Tamari和Luttwak表示���,六個(gè)主要DNSaaS供應商其中的兩個(gè)已經(jīng)修復了這些漏洞�。
Luttwak表示�,“DNS是互聯(lián)網(wǎng)的命脈���,是最重要的服務(wù)之一�。而我們只是簡(jiǎn)單地注冊一個(gè)域名就可以訪(fǎng)問(wèn)成千上萬(wàn)的公司和數百萬(wàn)計設備的DNS流量���。我們深入調查后發(fā)現�,DNS流量來(lái)自財富500強公司和100多個(gè)政府機構�。”
4. GPT-3的高級文本功能成了虛假信息行為者津津樂(lè )道的工具
GPT-3是OpenAI開(kāi)發(fā)的一個(gè)高級項目�,GPT-3可生成類(lèi)似人類(lèi)寫(xiě)作的內容���,GPT-3這個(gè)功能非常強大��、令人真假難辨��,而且據喬治敦大學(xué)的兩位安全研究人員的說(shuō)法�,可能非常危險�����。
GPT-3人工智能文本生成器是有史以來(lái)最大的神經(jīng)網(wǎng)絡(luò )���,只要提供一個(gè)文本提示或一個(gè)句子�,GPT-3就可以返回完全通順的文本段落�。GPT-3還可以生成有效的計算機代碼�����,GPT-3甚至還寫(xiě)了一篇關(guān)于自己的����、包含了高度信息的博文��。哪里可能出岔子呢?
喬治敦大學(xué)安全和新興技術(shù)中心的研究分析員Drew Lohn和 Micah Musser成功從OpenAI申請到這個(gè)自動(dòng)語(yǔ)言工具的使用���。他們要在六個(gè)月的時(shí)間內了解GPT-3能夠造成什么樣的危害���。
二位研究人員利用不同的對照組測試了關(guān)于政治或社會(huì )問(wèn)題的多個(gè)樣本��,目的是看讀者是否能區分人類(lèi)和機器所寫(xiě)的內容的區別����。GPT-3將美聯(lián)社的兩篇正當的新聞報道改寫(xiě)成支持唐納德-特朗普或反對前總統的文章����,一個(gè)專(zhuān)家小組無(wú)法哪是原稿哪是GTP-3改寫(xiě)過(guò)的文章���。
二位研究人員指出�,GPT-3特別擅長(cháng)讀取少少的幾條指令生成推文��,GPT-3的速度和準確性令其有可能利用一個(gè)社交媒體賬戶(hù)傳播出大量的信息��。
Lohn表示�,“我不確定其影響是否得到足夠的重視以及被深究過(guò)���。這些技術(shù)可以帶來(lái)很多潛在的好處�。我們需要對這類(lèi)決定進(jìn)行討論�����。”
5. 黑客也是勒索軟件攻擊的受害者
隨著(zhù)時(shí)間的推移����,網(wǎng)絡(luò )安全界現在開(kāi)始對民族國家的黑客使用的方法和操作方式有了更清晰的認識�,也對他們的問(wèn)題有了更清晰的認識���。
IBM公司X-Force的安全研究人員一直在分析IBM威脅集團18(ITG18)的漏洞�,ITG18在網(wǎng)絡(luò )安全領(lǐng)域與名為Charming Kitten的伊朗網(wǎng)絡(luò )戰組織有重疊�。ITG18與其他民族國家的黑客行動(dòng)不同的是�����,其他民族國家的黑客都盡量保持在公眾視線(xiàn)之外��,ITG18在方面一直非常寬松����,而且似乎并不特別擔心這個(gè)問(wèn)題���。
ITG18組織一直對制藥公司��、記者以及伊朗持不同政見(jiàn)者的網(wǎng)絡(luò )進(jìn)行釣魚(yú)攻擊���,ITG18發(fā)布過(guò)一套培訓視頻���,IBM研究人員在去年五月發(fā)現了該視頻����。該視頻提供了如何測試訪(fǎng)問(wèn)以及如何從被攻擊賬戶(hù)收集數據的教程���,視頻暴露了與該組織成員伊朗電話(huà)號碼相關(guān)的網(wǎng)站信息���。這批資料顯示��,這些黑客在解決驗證碼方面遇到了問(wèn)題����,另外��,視頻提供的一些證據表明����,他們也和我們中的許多人一樣曾因安全性差而成為勒索軟件攻擊的受害者���。
IBM Security X-Force的分析師Allison Wickoff表示����,“在過(guò)去的18個(gè)月里��,我們不斷見(jiàn)到這個(gè)團體的錯誤��。我們覺(jué)得���,調轉一下劇本看到對手人性化的一面也是很好的事情���。”
